Мы используем Samba Active Directory 2: 4.7.6 в Ubuntu 14.04.5 LT
У нас есть только один контроллер домена, и он не удаленный (он находится внутри контролируемой подсети без доступа к WAN).
Однако, как и по умолчанию, начиная с Windows AD 2008, все полномочные пользователи («администраторы предприятия», «администраторы домена», «издатели сертификатов» и т. Д.) Принадлежат к группе «Запрещено репликация пароля RODC".
У меня два вопроса:
Поскольку это НЕ удаленный контроллер домена (это главный) и он НЕ доступен через WAN (он находится в изолированной подсети), можем ли мы безопасно удалить этих пользователей из «Запрещенной репликации паролей RODC»
(Возможно, это будет отдельный пост). При попытке войти на член домена Ubuntu 18 происходит сбой с ошибкой ...
Ошибка:
lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "MyDomainAdminAccount"
Это из-за строки в /etc/pam.d/lightdm конфиг ...
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
Я исправил проблему, изменив этот файл на ...
#auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
auth sufficient pam_succeed_if.so user ingroup [domain users]
auth sufficient pam_succeed_if.so user ingroup [domain admins]
... но я не знаю, связаны ли эти две проблемы.
Кто-нибудь может пролить свет на это?
Зависит от того, есть ли у вас контроллеры домена только для чтения. Если вы этого не сделаете, то членство в группе не имеет значения. Если вы это сделаете, удаление этих учетных записей из группы Denied RODC Password Replication побеждает основную цель создания RODC.
Глядя на документацию, я не думаю, что этот параметр связан с членством в группе Denied RODC Password Replication:
https://wiki.archlinux.org/index.php/LightDM#Enables_interactive_passwordless_login
«Тогда вы также должны быть частью группы nopasswdlogin, чтобы иметь возможность входить в систему в интерактивном режиме без ввода пароля»